Forum d'Entraide Informatique (FEI)

bonjour,

j'ai commencé à nettoyer le PC de ma fille car elle avait des extensions dans Chrome ainsi que la page AwesomeHP qui s'ouvrait systématiquement. de plus, je veux supprimer les logiciels de streaming ou de téléchargements qu'elle a.
pour cela, j'ai utilisé adwcleaner et ccleaner qui ont nettoyé une partie.

ensuite j'ai lancé le rapport ZHPDiag. il est ici : http://cjoint.com/?3DBuq7ATbkY
je ne sais pas comment utiliser ZHPFix.

merci de votre aide

Eric

salut

• Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.
• Télécharge Shortcut_Module sur ton bureau.
  
  Note : Enregistrer votre travail avant de continuer !
• Lance Shortcut_Module,
• Clic sur Nettoyer
  
  
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

merci de te démener pour moi   
voici le lien vers le fichier résultat de Shortcut : http://upload.sosvirus.net/www/?a=di=tJD4Uoqblr

Eric

re

bien

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\Install /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

merci encore pour ton aide.

voici le fichier Extra : http://upload.sosvirus.net/www/?a=di=1XPhvShsUL
et le fichier OTL : http://upload.sosvirus.net/www/?a=di=NgU1vvLuvs

merci
Eric

merci

a la fin du scan, j'ai cliqué sur "quarantine all" (le prog est en anglais) puis sur "copy to clipboard" mais rien n'est apparu.
j'ai donc fait "export log". voici le contenu de ce fichier comme tu m'as demandé :

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Scan Date: 30/04/2014
Scan Time: 19:39:58
Logfile: malware.txt
Administrator: Yes

Version: 2.00.1.1004
Malware Database: v2014.04.30.07
Rootkit Database: v2014.03.27.01
License: Free
Malware Protection: Disabled
Malicious Website Protection: Disabled
Chameleon: Disabled

OS: Windows Vista Service Pack 2
CPU: x86
File System: NTFS
User: léa

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 245339
Time Elapsed: 32 min, 36 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Shuriken: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 9
PUP.Optional.iVIDI.A, HKLM\SOFTWARE\CLASSES\APPID\{685F23D9-FCFD-475C-B56A-362645945C5A}, Quarantined, [91ee83ad384322142fe9e7378a788d73],
PUP.Optional.SupTab.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}, Quarantined, [b9c684ac037891a552d28b935fa38878],
PUP.Optional.SupTab.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\PREAPPROVED\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C}, Quarantined, [b9c684ac037891a552d28b935fa38878],
PUP.Optional.Hosts.A, HKLM\SOFTWARE\HOSTS\INSTALLER, Quarantined, [641bd35dfc7f62d4d1a2a0e6e51dae52],
PUP.Optional.Incredibar.A, HKLM\SOFTWARE\WOW6432NODE\IB Updater, Quarantined, [b5ca2e02c0bb181e64fda7cf9171b64a],
PUP.Optional.Incredibar.A, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\dlnembnfbcpjnepmfjmngjenhhajpdfd, Quarantined, [7c0389a7e794d660d48b383ea260a45c],
PUP.Optional.InstallBrain.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\WNLT, Quarantined, [136cb37dd4a7162040c0adfa46bdaf51],
PUP.Optional.Ividi.A, HKU\S-1-5-21-4272146337-2761525159-3988177561-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\iVIDI Plugin, Quarantined, [f7888ea20e6da294e72eec9e4fb38779],
PUP.Optional.Ividi.A, HKU\S-1-5-21-4272146337-2761525159-3988177561-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\iVIDI.org, Quarantined, [9ae5e749accf37ffcf473a50729030d0],

Registry Values: 5
PUP.Optional.HomePageProtector.A, HKLM\SOFTWARE\WOW6432NODE\MOZILLA\FIREFOX\EXTENSIONS\{336D0C35-8A85-403a-B9D2-65C292C39087}, Quarantined, [0679bf71700bf64022ae43d9857d7888],
PUP.Optional.HomePageProtector.A, HKLM\SOFTWARE\WOW6432NODE\MOZILLA\FIREFOX\EXTENSIONS|{336D0C35-8A85-403A-B9D2-65C292C39087}, C:\Program Files\IB Updater\Firefox, Quarantined, [0679bf71700bf64022ae43d9857d7888]
PUP.Optional.Hosts.A, HKLM\SOFTWARE\HOSTS\INSTALLER|BundledIe, 1, Quarantined, [641bd35dfc7f62d4d1a2a0e6e51dae52]
PUP.Optional.Incredibar, HKLM\SOFTWARE\WOW6432NODE\MOZILLA\FIREFOX\EXTENSIONS|{FE1DEEEA-DB6D-44b8-83F0-34FC0F9D1052}, C:\Program Files\IB Updater\Firefox, Quarantined, [007f67c99fdc2c0abac2614ad330e719]
PUP.Optional.InstallBrain.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\WNLT|URL, Quarantined, [136cb37dd4a7162040c0adfa46bdaf51],

Registry Data: 0
(No malicious items detected)

Folders: 1
Adware.Seekmo, C:\ProgramData\2ACA5CC3-0F83-453D-A079-1076FE1A8B65, Quarantined, [a1deb27e5f1c48eee98a5ff752b07b85],

Files: 6
Trojan.ELEX, C:\Users\léa\Downloads\cleaner_ava.exe, Quarantined, [abd440f07308181ed2efc67ead540cf4],
PUP.Optional.BundleInstaller.A, C:\Users\léa\Downloads\Setup.exe, Quarantined, [84fb7db3e09b0b2b164e5bb352b209f7],
PUP.Optional.NextInt, C:\Users\léa\Downloads\ccsetup413.exe, Quarantined, [dba4db55e59643f3078bb3770afa43bd],
PUP.Optional.Domalq, C:\Users\léa\Downloads\Java (1).exe, Quarantined, [275840f0166583b3d8c851eaec14817f],
PUP.Optional.BundleInstaller.A, C:\Users\léa\Downloads\Java.exe, Quarantined, [82fded43304bfe38b2a769d7946df010],
PUP.Optional.Somoto, C:\Users\léa\Downloads\VLCMediaPlayerSetup-fJZ67uk.exe, Quarantined, [324dfc34d1aa5adc4b2fba9ea95bcc34],

Physical Sectors: 0
(No malicious items detected)


(end)


merci encore.
j'espère ne pas abuser de ton temps. ça a l'air d'être sans fin !

Eric

hello pas de soucis

refais OTL selon les recommandations prescrites

bonsoir,

voici le fichier Extra : http://upload.sosvirus.net/www/?a=di=aTStHju8Fb
et le fichier OTL : http://upload.sosvirus.net/www/?a=di=oDBESTqyI8

merci
Eric

hello tu as avast + AVG va falloir choisir

bonsoir,

en fait, j'avais AVG mais qui pour une raison inconnue ne fonctionnait plus. j'ai donc installé avast et supprimé le dossier AVG car je n'arrivais pas non plus à le désinstaller depuis le panneau de config.
s'il y a des restes de AVG sur le PC, il faut les supprimer.

merci

Eric

utilise ceci

http://www.clubic.com/telecharger-fiche ... mover.html

bonsoir,

j'ai lancé AVG remover puis redémarré le PC et j'ai ensuite relancé OTL. voici les 2 fichiers Extras et OTL.txt :

http://upload.sosvirus.net/www/?a=di=VMrgelr7X8
http://upload.sosvirus.net/www/?a=di=i0Wk2Q6taU

merci

Eric

re

bien

Fais analyser le(s) fichier(s) suivants sur Virustotal :

http://www.virustotal.com/index.html

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\SMINST\BLService.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

bonsoir,

j'ai analysé BLservice.exe avec Virustotal. Le résultat est correct.
voici le lien
https://www.virustotal.com/fr/file/0279 ... 399222146/

est-ce que ça veut dire que le PC est nettoyé maintenant ?
ou y a-t-il d'autres programmes à lancer ?

merci

Eric

mouais....

j'aimerais quand meme verifier un truc

Télécharge Gmer : http://www.gmer.net/#files clique sur « Download EXE » et enregistre-le sur ton bureau

Important : Désactive toutes tes protections : http://forum.pcastuces.com/desactiver_l ... -f31s4.htm

Ne pas utiliser l'ordinateur pendant le scan de GMER

Pour XP = double clique sur gmer.exe
Pour Vista et 7 = clique droit « executer en tant que…. »

GMER va lancer un scan automatique

s'il detecte une activité de rootkit et demande un scan complet , répondre non.

décoche IAT/EAT, ShowAll et les lecteurs (C:\ , D:\....) , et coche tout le reste

clique sur Scan

si une fenêtre indiquant un rootkit apparait clique sur OK.
Une fois le scan terminé sauvegarde le rapport sur ton bureau sous le nom gmer.log

ensuite clique sur copy, puis colle-le dans ta réponse.

Réactive tes protections.

Note: Si problèmes utiliser GMER en mode sans echec.

bonsoir,

J'ai lancé Gmer.
il n'y a eu aucun message concernant des rootkits.
voici le rapport :

GMER 2.1.19357 - http://www.gmer.net
Rootkit scan 2014-05-04 22:06:23
Windows 6.0.6002 Service Pack 2 \Device\Harddisk0\DR0 - \Device\Ide\IAAStorageDevice-1 ST925082 rev.3.AH 232,89GB
Running: qel20by9.exe; Driver: C:\Users\LA4771~1\AppData\Local\Temp\ugliypob.sys


---- System - GMER 2.1 ----

SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwAddBootEntry [0x906F8A9C]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwAssignProcessToJobObject [0x906F957A]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateEvent [0x907055C4]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateEventPair [0x90705610]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateIoCompletion [0x907057AA]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateMutant [0x90705532]
SSDT \SystemRoot\system32\drivers\aswSP.sys ZwCreateSection [0x90C0F59A]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateSemaphore [0x9070557A]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateThread [0x906F9AB0]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateTimer [0x90705764]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwDebugActiveProcess [0x906FA368]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwDeleteBootEntry [0x906F8B02]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwDuplicateObject [0x906FDB3C]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwLoadDriver [0x906F86EE]
SSDT \SystemRoot\system32\drivers\aswSP.sys ZwMapViewOfSection [0x90C0F67A]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwModifyBootEntry [0x906F8B68]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwNotifyChangeKey [0x906FDF32]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwNotifyChangeMultipleKeys [0x906FAE50]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenEvent [0x907055EE]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenEventPair [0x90705632]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenIoCompletion [0x907057CE]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenMutant [0x90705558]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenProcess [0x906FD436]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenSection [0x907056E2]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenSemaphore [0x907055A2]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenThread [0x906FD81E]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwOpenTimer [0x90705788]
SSDT \SystemRoot\system32\drivers\aswSP.sys ZwProtectVirtualMemory [0x90C0F41E]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwQueryObject [0x906FACC4]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwQueueApcThread [0x906FA81A]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwSetBootEntryOrder [0x906F8BCE]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwSetBootOptions [0x906F8C34]
SSDT \SystemRoot\system32\drivers\aswSP.sys ZwSetContextThread [0x90C0F776]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwSetSystemInformation [0x906F8788]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwSetSystemPowerState [0x906F895A]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwShutdownSystem [0x906F88E8]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwSuspendProcess [0x906FA532]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwSuspendThread [0x906FA694]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwSystemDebugControl [0x906F89E2]
SSDT \SystemRoot\system32\drivers\aswSP.sys ZwTerminateProcess [0x90C0F4EC]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwTerminateThread [0x906FA1C2]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwVdmControl [0x906F8C9A]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwWriteVirtualMemory [0x906F95D6]
SSDT \SystemRoot\system32\drivers\aswSnx.sys ZwCreateThreadEx [0x906F9CCC]

---- Kernel code sections - GMER 2.1 ----

.text ntkrnlpa.exe!KeSetEvent + 10D 822C8758 4 Bytes [9C, 8A, 6F, 90] {PUSHF ; MOV CH, [EDI-0x70]}
.text ntkrnlpa.exe!KeSetEvent + 191 822C87DC 4 Bytes [7A, 95, 6F, 90] {JP 0xffffff97; OUTS DX, DWORD [ESI]; NOP }
.text ntkrnlpa.exe!KeSetEvent + 1D1 822C881C 8 Bytes [C4, 55, 70, 90, 10, 56, 70, ...] {LES EDX, [EBP+0x70]; NOP ; ADC [ESI+0x70], DL; NOP }
.text ntkrnlpa.exe!KeSetEvent + 1DD 822C8828 4 Bytes [AA, 57, 70, 90] {STOSB ; PUSH EDI; JO 0xffffff94}
.text ntkrnlpa.exe!KeSetEvent + 1F5 822C8840 4 Bytes [32, 55, 70, 90] {XOR DL, [EBP+0x70]; NOP }
.text ...
PAGE ntkrnlpa.exe!ZwReplyWaitReceivePortEx + 110 8245600F 4 Bytes CALL 906FB513 \SystemRoot\system32\drivers\aswSnx.sys
PAGE ntkrnlpa.exe!ZwAlpcSendWaitReceivePort + 121 82459C83 4 Bytes CALL 906FB529 \SystemRoot\system32\drivers\aswSnx.sys

---- User code sections - GMER 2.1 ----

.text C:\Windows\system32\taskeng.exe[592] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\System32\spoolsv.exe[600] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\csrss.exe[624] KERNEL32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\wininit.exe[676] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\csrss.exe[688] KERNEL32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text ...
.text C:\Program Files\AVAST Software\Avast\AvastUI.exe[1260] kernel32.dll!SetUnhandledExceptionFilter 75E9A9BD 8 Bytes [31, C0, C2, 04, 00, 90, 90, ...] {XOR EAX, EAX; RET 0x4; NOP ; NOP ; NOP }
.text C:\Program Files\AVAST Software\Avast\AvastUI.exe[1260] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\AUDIODG.EXE[1316] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\svchost.exe[1352] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\conime.exe[1360] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\svchost.exe[1404] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text ...
.text C:\Program Files\AVAST Software\Avast\AvastSvc.exe[1860] kernel32.dll!SetUnhandledExceptionFilter 75E9A9BD 8 Bytes [31, C0, C2, 04, 00, 90, 90, ...] {XOR EAX, EAX; RET 0x4; NOP ; NOP ; NOP }
.text C:\Program Files\AVAST Software\Avast\AvastSvc.exe[1860] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\Dwm.exe[1904] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\Explorer.EXE[1940] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\WLANExt.exe[1948] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe[2220] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text ...
.text C:\Program Files\Google\Chrome\Application\chrome.exe[3416] ntdll.dll!LdrLoadDll 777D9378 5 Bytes JMP 000601F8
.text C:\Program Files\Google\Chrome\Application\chrome.exe[3416] ntdll.dll!LdrUnloadDll 777EB680 5 Bytes JMP 000603FC
.text C:\Program Files\Google\Chrome\Application\chrome.exe[3416] ntdll.dll!NtMapViewOfSection + 6 778149BA 4 Bytes [18, 00, 20, 6C]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[3416] ntdll.dll!NtMapViewOfSection + B 778149BF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[3416] KERNEL32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe[3500] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Program Files\HP\HP Photosmart 5510d series\Bin\ScanToPCActivationApp.exe[3508] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\ehome\ehtray.exe[3524] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Program Files\HP\QuickPlay\QPService.exe[3604] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text ...
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!LdrLoadDll 777D9378 5 Bytes JMP 004D01F8
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!LdrUnloadDll 777EB680 5 Bytes JMP 004D03FC
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtCreateFile + 6 7781426A 4 Bytes [28, 20, 28, 00] {SUB [EAX], AH; SUB [EAX], AL}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtCreateFile + B 7781426F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtMapViewOfSection + 6 778149BA 4 Bytes [28, 23, 28, 00] {SUB [EBX], AH; SUB [EAX], AL}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtMapViewOfSection + B 778149BF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenFile + 6 77814A4A 4 Bytes [68, 20, 28, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenFile + B 77814A4F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenProcess + 6 77814ACA 4 Bytes [A8, 21, 28, 00] {TEST AL, 0x21; SUB [EAX], AL}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenProcess + B 77814ACF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenProcessToken + 6 77814ADA 4 Bytes CALL 76817300 C:\Windows\system32\SHELL32.dll
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenProcessToken + B 77814ADF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenProcessTokenEx + 6 77814AEA 4 Bytes [A8, 22, 28, 00] {TEST AL, 0x22; SUB [EAX], AL}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenProcessTokenEx + B 77814AEF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenThread + 6 77814B3A 4 Bytes [68, 21, 28, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenThread + B 77814B3F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenThreadToken + 6 77814B4A 4 Bytes [68, 22, 28, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenThreadToken + B 77814B4F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenThreadTokenEx + 6 77814B5A 4 Bytes CALL 76817381 C:\Windows\system32\SHELL32.dll
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtOpenThreadTokenEx + B 77814B5F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtQueryAttributesFile + 6 77814BEA 4 Bytes [A8, 20, 28, 00] {TEST AL, 0x20; SUB [EAX], AL}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtQueryAttributesFile + B 77814BEF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtQueryFullAttributesFile + 6 77814C9A 4 Bytes CALL 768174BF C:\Windows\system32\SHELL32.dll
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtQueryFullAttributesFile + B 77814C9F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtSetInformationFile + 6 7781517A 4 Bytes [28, 21, 28, 00] {SUB [ECX], AH; SUB [EAX], AL}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtSetInformationFile + B 7781517F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtSetInformationThread + 6 778151CA 4 Bytes [28, 22, 28, 00] {SUB [EDX], AH; SUB [EAX], AL}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtSetInformationThread + B 778151CF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtUnmapViewOfSection + 6 7781546A 4 Bytes [68, 23, 28, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] ntdll.dll!NtUnmapViewOfSection + B 7781546F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[4296] KERNEL32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\rundll32.exe[4364] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe[4592] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Program Files\iPod\bin\iPodService.exe[4708] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Windows\system32\wbem\wmiprvse.exe[4740] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text ...
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!LdrLoadDll 777D9378 5 Bytes JMP 00F101F8
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!LdrUnloadDll 777EB680 5 Bytes JMP 00F103FC
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtCreateFile + 6 7781426A 4 Bytes [28, F0, EB, 00] {SUB AL, DH; JMP 0x4}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtCreateFile + B 7781426F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtMapViewOfSection + 6 778149BA 4 Bytes [28, F3, EB, 00] {SUB BL, DH; JMP 0x4}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtMapViewOfSection + B 778149BF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenFile + 6 77814A4A 4 Bytes [68, F0, EB, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenFile + B 77814A4F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenProcess + 6 77814ACA 4 Bytes [A8, F1, EB, 00] {TEST AL, 0xf1; JMP 0x4}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenProcess + B 77814ACF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenProcessToken + 6 77814ADA 4 Bytes CALL 768236D0 C:\Windows\system32\SHELL32.dll
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenProcessToken + B 77814ADF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenProcessTokenEx + 6 77814AEA 4 Bytes [A8, F2, EB, 00] {TEST AL, 0xf2; JMP 0x4}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenProcessTokenEx + B 77814AEF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenThread + 6 77814B3A 4 Bytes [68, F1, EB, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenThread + B 77814B3F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenThreadToken + 6 77814B4A 4 Bytes [68, F2, EB, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenThreadToken + B 77814B4F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenThreadTokenEx + 6 77814B5A 4 Bytes CALL 76823751 C:\Windows\system32\SHELL32.dll
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtOpenThreadTokenEx + B 77814B5F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtQueryAttributesFile + 6 77814BEA 4 Bytes [A8, F0, EB, 00] {TEST AL, 0xf0; JMP 0x4}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtQueryAttributesFile + B 77814BEF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtQueryFullAttributesFile + 6 77814C9A 4 Bytes CALL 7682388F C:\Windows\system32\SHELL32.dll
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtQueryFullAttributesFile + B 77814C9F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtSetInformationFile + 6 7781517A 4 Bytes [28, F1, EB, 00] {SUB CL, DH; JMP 0x4}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtSetInformationFile + B 7781517F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtSetInformationThread + 6 778151CA 4 Bytes [28, F2, EB, 00] {SUB DL, DH; JMP 0x4}
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtSetInformationThread + B 778151CF 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtUnmapViewOfSection + 6 7781546A 4 Bytes [68, F3, EB, 00]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] ntdll.dll!NtUnmapViewOfSection + B 7781546F 1 Byte [E2]
.text C:\Program Files\Google\Chrome\Application\chrome.exe[5252] KERNEL32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]
.text C:\Program Files\HP\HP Photosmart 5510d series\Bin\HPNetworkCommunicator.exe[5692] kernel32.dll!GetBinaryTypeW + 70 75EC252F 1 Byte [62]

---- Devices - GMER 2.1 ----

AttachedDevice \Driver\tdx \Device\Tcp aswTdi.sys
AttachedDevice \Driver\tdx \Device\Udp aswTdi.sys
AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys

---- Disk sectors - GMER 2.1 ----

Disk \Device\Harddisk0\DR0 unknown MBR code

---- EOF - GMER 2.1 ----



merci

Eric

re

si tu demarres le pc sur le menu mode sans echec mais que tu fais F8 ensuite , le menu s'étend-t-il à d'autres options supplementaires ?

bonsoir,

désolé mais je ne suis pas sûr d'avoir compris ta demande.
pour faire apparaître le menu "mode sans echec", j'ai fait F8 pendant le redémarrage. j'ai eu un menu assez long. j'ai choisi Mode sans échec puis j'ai refait F8 mais cela n'a rien fait, le PC a démarré en mode sans échec. il n'y a pas eu d'autre menu.

est-ce que j'ai mal compris ce qu'il fallait faire ?


merci

Eric

re

non mais avant je dois te poser une question :

ton pc a été acheté en grande surface .?

je l'ai acheté chez Pixmania

Eric

ok dans le menu mode sans echec ne selectionne pas mode sans echec mais fais F8 à la place le menu s'étend-til ?

bonsoir,

quand je fais F8 au démarrage, j'ai un menu assez long (12 choix). j'ai fait une copie d'écran. elle est ici :
http://upload.sosvirus.net/www/?a=di=ajhFpgtOvF
quand ensuite je refais F8, il ne se passe rien.

merci

Eric

ok

je t'explique :

ton secteur d'amorcage du disque dur (MBR) n'est pas reconnu , mais , il n'est pas reconnu infectieux ou infecté non plus.

c'est pas méchant , cependant si ton pc a une partition de restauration d'usine , ca sera perdu si on tente de le réparer. donc si c'est le cas on laisse comme ca.

cette information de partition me manque pour être certain de faire les choses bien

télécharge cet outil : http://www.telecharger.sosvirus.net/download/hddfix/

lance HDDFix et clique sur Listing.

ca ira très vite , et un fichier $HDDList apparaitra sur ton bureau
héberge ce rapport et donne le lien
même s'il te parait assez court , héberge-le quand même , sur les forums tout est décalé et c'est moins comprehensible.
merci.

bonsoir,

merci.
voici le fichier :
http://upload.sosvirus.net/www/?a=di=RlWUOJtDJC

par ailleurs, j'ai une alerte windows dans la zone de notification (bouclier en rouge) : "gestion des comptes d'utilisateurs désactivée" mais quand je double clique dessus il ne se passe rien. je ne peux pas non plus ouvrir le centre de sécurité depuis le panneau de config.

merci

Eric

re

ok j'ai peur que tu aies une partition recovery, on va pas tenter le diable au risque de la péter

pour ton centre de securité on va tenter ceci :

• Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !
  
  Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
• Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( Aide )
• Télécharge Pre_Scan sur ton bureau !
• Si le lien n'est pas fonctionnel :
• #ICI (renommé winlogon)

[*]Si l'outil est bloqué par l'infection essaye avec d'autres extensions :

[*]#SCR
[*]#PIF
[*]#COM

[*]Si des Proxy sont détectés et que tu n'en as pas installé :

[*]Clique sur Supprimer le Proxy

[*]A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
[*]Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com puis donne le lien

bonsoir,

le fichier est ici : http://cjoint.com/?3EountIUnVl

merci

Eric

up